pile·
보안·vercel-blogVercel Blog·

Protecting against token theft

AI 추론 엔드포인트는 요청당 최대 2달러의 비용이 들어 기존 HTTP보다 백만 배 비싼 자원이다. 이 경제성이 추론 절도(inference theft)라는 고수익 공격 벡터를 만들었고, 공격자들은 AI 플레이그라운드·서포트봇·문서 어시스턴트를 타깃으로 하루 수만 달러 상당의 추론 자원을 탈취한다. Vercel은 2026년 4월 자사 문서 AI에 분당 1,300건 요청 급등(하루 $10,000 상당)을 경험했고, 세션 경계가 아닌 요청 단위 검증으로만 이를 막을 수 있다는 것을 실증했다.

핵심 포인트
  • 추론 절도 경제학: 단일 에이전트 요청 ~$2, 기존 HTTP 대비 백만 배 고비용 — 공격자 입장에서 고수익 자원.
  • 취약 엔드포인트: AI 플레이그라운드(호출자 프롬프트 최대 제어), 서포트봇(서버 측 제약 약함), 문서 어시스턴트(시스템 프롬프트 노출).
  • 기존 방어 실패: IP 기반 속도 제한은 수천 개 거주용 프록시로 우회, 인증 게이트는 실제 계정으로 통과.
  • BotID 솔루션: 요청별 보이지 않는 CAPTCHA — 클라이언트 머신러닝으로 봇·인간 구분, 이미지 CAPTCHA는 AI가 쉽게 통과.
  • 2026년 4월 실제 공격: 분당 1,300건, 하루 $10,000+ 추론 탈취 시도 → BotID로 초기 수만 건 차단, 24시간 내 정상화.
상세 정리
  • 공격 구조: 공격자들이 프록시 어댑터를 만들어 피해 엔드포인트를 OpenAI·Anthropic 호환 인터페이스로 변환, 언더그라운드에서 재판매. Chipotlai Max가 공개적으로 Chipotle 지원봇에 이 기법을 시연.
  • 세션 경계 방어의 무력화: 재판매 어댑터가 세션 경계 역할 — 하위 사용자가 어댑터에서 인증하므로 피해 엔드포인트의 per-session 검증이 무효화.
  • 실제 공격 타임라인: 2026년 4월 12일, 정상 대비 10배 트래픽, 최고 1,300 req/min, 하루 잠재 비용 $10,000 이상, 거주용 프록시 분산으로 IP 속도 제한 우회.
  • 요청 단위 검증이 필요한 이유: 공격자는 우회 비용을 수천 개 탈취 요청으로 분산해 세션 단위 우회 비용을 희석 — 요청마다 검증하면 경제성 붕괴.
  • BotID 서버 측 구현: checkBotId() 함수가 봇 감지 시 403 반환. app/api/ai-chat/route.ts에 if (verification.isBot) return 403 한 줄 추가.
  • BotID 클라이언트 측: initBotId({ protect: [{ path: '/api/ai-chat', method: 'POST' }] }) 로 보호 경로 선언. 경로 선언 없으면 챌린지 헤더 미첨부로 무효화.
  • 결과: 초기 수만 건 봇 요청 차단, 24시간 내 트래픽 완전 정상화.
  • 권고 액션: 모든 AI 엔드포인트 식별 → 호출자 프롬프트 제어 수준으로 위험도 우선순위화 → 요청 단위 검증 게이트 적용.
왜 읽나AI 서비스 엔드포인트를 운영하는 백엔드·보안 엔지니어에게 추론 절도 공격 메커니즘과 TypeScript 수준 방어 구현을 실제 사례·수치·코드로 제공.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2